KABLOSUZ AĞLARDA GÜVENLİK AÇIKLIKLARI

Kablosuz ağların günümüzdeki çoğu saldırı çeşidine karşı zafiyeti bulunmaktadır. Bu nedenle, zafiyetlerin farkında olmak, saldırıların etkilerini azaltmak ve saldırıları önlemek için gerekli adımları atmak büyük önem taşımaktadır.

Bu makalede, kablosuz ağlara ne tür saldırılar gelebileceğine değinilecektir. Saldırı çeşitleri hakkında daha fazla bilgi edinmek için CWNA Official Study Guide 4th Edition kitabına göz gezdirebilirsiniz.

Sahte Wireless Cihazları:

Sahte Wireless cihazları veya erişim noktası, network yöneticilerinin bilgisi dahilinde olmayan kablosuz ağ cihazının yetkisiz bir şekilde ağa dahil olmasıdır. Potansiyel saldırganlara kapı açarak ağa dahil olmalarını sağlamaktadır.

Eğer saldırganların ağa direkt olarak erişimi var ise, bu tarz cihazlar ağa zararlı yazılımlarla dahil olabilmektedir. Çalışanlar tarafından fark edilmeyerek kalıcı etkiler bırakabilmektedir.

Çözüm Önerisi:

Kurum bünyesindeki ağ cihazlarına ait güvenlik denetimi arttırılarak sahte wireless cihazlarının ağa dahil olması önlenmelidir.

Noktadan Noktaya Saldırılar:

Aynı erişim noktasına bağlı cihazların birbiri tarafından zafiyetlerin sömürülmesi ve saldırıya uğramasıyla gerçekleşmektedir.

Çoğu sağlayıcı “Client Isolation” opsiyonunu kullanarak, aynı erişim noktasına bağlı cihazların birbiri ile haberleşmesini engelleyerek, bu saldırı çeşidini ortadan kaldırmaktadırlar.

Çözüm Önerisi:

Wireless cihazlarına ait noktadan noktaya bağlantıları noktasında ağın güvenliği için haberleşmenin güvenli kanallar üzerinden yapılması önerilmektedir.

Kulak Misafiri Saldırısı (Eavesdropping):

Bu tür saldırılar, cihazların birbiri ile haberleşirken kablosuz ağ trafiğinin dinlenmesi ile ortaya çıkan saldırılardır. İki tür saldırı çeşidi bulunmaktadır.

İlk olarak, sıradan bir kulak misafirliğinde ya da başka bir deyişle WLAN keşfedilmesi, aktif olarak kablosuz ağ erişim noktalarının taranmasıdır.

İkinci olarak, zararlı kulak misafirliğinde illegal olarak davranılmaktadır. Bu saldırı türünde erişim noktası ile kullanıcı arasındaki veri transferi dinlenilmeye çalışılmaktadır. Bu nedenle, ağınızı şifrelemek gereklidir. Çünkü şifrelenmemiş herhangi bir noktayı saldırgan dinleyebilmektedir.

Çözüm Önerisi:

Eavesdropping saldırılarına karşı alınması gereken çözüm haberleşmenin şifreli kanallar üzerinden gerçekleştirilmesidir.

Parola Kırma Saldırıları:

Bu saldırılarda, saldırgan kablosuz ağının parolasını kırmaya çalışmaktadır. WEP standardı kullanan ağlar bu saldırılar için daha uygun bir nokta oluşturmaktadır. Kolayca, beş dakikalık bir süre zarfında kırılabilmektedirler. WPA2- WPA3 gibi daha güvenli bir şifreleme standardı kullanılması ağınız için daha güvenli bir nokta oluşturmaktadır.

Çözüm Önerisi:

Parola kırma saldırılarına karşı alınması gereken en büyük önlem kablosuz ağ cihazının WEP modundan çıkarılmasıdır. WPA2 – WPA3 gibi güçlü protokolleri kullanılması bu tarz saldırılar için önem taşımaktadır.

Kimlik Doğrulama Saldırıları:

WPA ve WPA2 standardı kullanılan ağlarda, kablosuz ağ ve istemci arasındaki kimlik doğrulama çerçevesi yakalanarak offline olarak sözlük saldırısı ile gerçekleştirilen bir saldırı türüdür.

WPA ve WPA2 ağları için kaba-kuvvet saldırıları yapılarak ağınızın parolası elde edilmeye çalışılmaktadır. Ağınızın daha güvenli olması için uzun karakterli, sembolü bulunan ve tanıdık olmayan parolalar kullanılması bu noktada önem taşımaktadır.

Çözüm Önerisi:

Kimlik doğrulama saldırılarına karşı alınması gereken önlem şifrenizin fazla ve çeşitli sayıda karakter içermesidir.

MAC Sahtekarlığı:

Ağ içinde MAC adresi değiştirilerek başka bir kullanıcı gibi davranılması üzerinden gidilen bir saldırı çeşididir. Saldırıyı gerçekleştirmek oldukça basittir; çünkü, güvenlik ve MAC adreslerinin kontrolü için kullanılan MAC filtreleme işlemi basitçe atlatılabilmektedir.

Güvenlik noktasında mimari olarak bir güvenlik şekli ele alınmalı ve diğer güvenlik araçları ile güçlendirilme sağlanmalıdır.

Çözüm Önerisi:

Ağdaki son noktalarda(Endpoint) tehdit önleyici(Threat Protection) yazılımlar kullanılarak Mac sahteciliğinin önüne geçilebilmektedir.

Yönetim Paneli Sömürülmesi:

Bu tür saldırılarda, saldırgan kablosuz ağ ile bağlantı kurduktan sonra web ara yüzü veya konsol erişim noktası üzerinden ağ cihazına erişip sömürmesi ile oluşmaktadır.

Varsayılan erişim bilgileri internette bulunmaktadır, bu tür saldırıları önlemek için varsayılan kimlik bilgilerini değiştirmek zaruridir.

Çözüm Önerisi:

Yönetim panellerinin sömürülmesinin önüne geçilmesi noktasında, varsayılan kimlik bilgilerinin değiştirilmesi ve ağ cihazlarını güncellenmelidir.

Wireless Gaspı (Wireless Hijacking):

Saldırgan, kablosuz ağ noktasının ID’si (adı) ile aynı olacak şekilde bir erişim noktası açmaktadır. Açtığı erişim noktasını yayınlayarak kullanıcıları kendi erişim noktasına çekmektedir. Saldırının farklı bir türü Evil Twin metodu olarak da geçmektedir.

Erişim noktasını yayınladıktan sonra saldırgan bekleyerek kurbanlarının ağa dahil olmasını beklemektedir. Kullanıcılar ağa bağlandıktan sonra noktadan noktaya saldırısında olduğu gibi kurbanların ağ trafiğini dinlemektedir.

Çözüm Önerisi:

Wireless Hijacking saldırılarının önüne geçilmesi için Access point cihazının bağlantı kurduğu cihazlarla arasında güçlü ve şifrelenmiş bir session ID kullanması gerekmektedir.

Servis Dışı Bırakma Saldırısı:

DoS saldırısı olarak da adından çokça bahsettiren DoS saldırısı farklı katmanlarda gerçekleşebilmektedir.

Katman 1 noktasında Jamming saldırıları gerçekleştirilerek, kullanıcıların erişim noktalarına bağlanamaması için bozucu sinyaller yollanmaktadır.

Katman 2 noktasında farklı çeşitte saldırılar bulunmaktadır. Saldırgan erişim noktasına Flood saldırıları yaparak devre dışı bırakabilmektedir.

Çözüm Önerisi:

Genellikle mesh topolojilerinde karşılaşılan bu saldırı türünde ağdaki cihazların yönlendirme algoritmalarını bu tür saldırılara karşı konfigüre edilmesi önerilmektedir.

Sosyal Mühendislik:

Popüler olarak bilinenlerin yanı sıra en başarılı saldırganlar bile kablosuz ağ saldırılarını yazılımlar veya araçlar ile değil, sosyal mühendislik ile gerçekleştirmektedirler.

İnsanlar manipüle edilerek bilgi toplanılmaktadır. Bu tür saldırıların önüne geçilmesi için insanların veya çalışanları güvenlik prosedürleri noktasında eğitilmesi gerekmekte ve düzenli olarak parola değişikliği üzerinde durulması gerekmektedir.

Çözüm Önerisi:

Kurum çalışanlarına belirli periyotlarda farkındalık eğitimleri verilmelidir. Kurum çalışanlarına verilecek bu eğitimlerde olası risklerden bahsedilmelidir.

Günümüzün Mesleği; Sosyal Mühendislik

 "Benim özel bir yeteneğim yok. Yalnızca tutkulu bir meraklıyım." -Albert Einstein

Kübra Eskalan - Sızma Testi Uzmanı

Günümüzün Mesleği; Sosyal Mühendislik

Sosyal mühendislik, sistemlerdeki insan faktörünü kullanıp etkileşim sağlayarak gizli kalması gereken bilgilerin ortaya çıkarılması eylemidir. Bir nevi insanları manipüle etme tekniğidir.

Siber saldırganlar sosyal mühendislik saldırılarını oldukça fazla kullanmaktadır. Çünkü genellikle bir kişinin güvenini kazanıp parolasını veya kişisel bilgisini vermesi için kandırmak, parolanın kırılması veya kişisel bilginin ele geçirilmesinden daha kolaydır. Burada çoğu sistem için insan faktörü en tehlikeli açık olma niteliğindedir. Sosyal mühendislik saldırılarında başarı durumunu en çok etkileyen faktör ise saldırganın manipüle etme yeteneğidir. Çünkü başarılı manipüleler ile kurbandan istenen eylemler yerine getirilmektedir. İkna edebilmek, istenilen doğrultuda kişiye evet dedirtme sanatıdır.

Günümüzde sosyal mühendislik saldırılarının sayısı oldukça artmıştır ve artmaya devam etmektedir. Bununla doğru orantılı olarak bu saldırıların karmaşıklığı ve gerçekçiliği de oldukça artmaktadır. Bu tehlikeye karşı firmalar elemanlarının güvenlik konusundaki eğitimlerini ilk savunma hattı olarak görmelidirler. Çünkü insanlar, güvenlik zincirinin oluşumunda en zayıf halka varsayılmaktadır. Güvenlik ise neye ve kime güvenileceğini bilmekle ilgilidir. Bu yüzden sosyal mühendislik saldırılarının savunması hiç kolay değildir. Çünkü insanlar tahmin edilemez ve öngörülemezdir. Yani bir şirkette hangi elemanın bu saldırıya inanacağını bilemezsiniz. Saldırganlar ise bu belirsizlik karşısında hedef yelpazesini olabildiğince geniş tutarak başarı oranlarını arttırmaya çalışmaktadırlar. Bu şekilde hedeflerden birinin hazırlıksız olduğu bir ana denk gelebilme ihtimallerini yükseltirler. Çünkü insan doğasında; dikkatsizlik, meşguliyet, güvenlik bilinçsizliği vb. özellikler bulunmakta ve normal kabul edilmektedir. Bu yüzden firmalar elemanlarını siber güvenlik üzerine bilinçlenmelerini sağlamak amaçlı kaynak, eğitim ve araçlar sağlamalıdırlar.

Sosyal mühendislik saldırıları internet üzerinden ya da fiziki etkileşimler ile gerçekleşebilmektedir. Bunun için insanların eylemlerinin ne üzerine kurulu olduğu hakkında araştırma yaparak manipüle safhası için büyük yol kat edilebilir. Günümüz teknoloji çağında ise insanların zaaflarını bulma konusunda sıkıntı yaşandığı söylenemez. Bu yüzden sosyal mühendislik firmalar için en tehlikeli saldırı yöntemlerinden biridir. Çünkü firmalar sistemlerinde teknik bir açık bulunmadan da bu saldırıya maruz kalabilmektedirler. Bu yönüyle geleneksel saldırılardan oldukça farklıdır. Kime ne koşullarda güvenmemiz gerektiğini bilmemiz gerekmektedir. Kendi firmanız için alabildiğiniz tüm fiziki önlemleri almışsınızdır. Fakat kapıda tamirci olduğunu ve içeri girmesi gerektiğini söyleyen bir kişinin sözlerinin doğruluğunun kontrol edilmeden içeri alınmasına izin verilmiştir. O halde bu durumun beraberinde getireceği risklerden sizi fiziksel önlemleriniz korumamakta olduğunu geçte olsa fark edeceksinizdir.

Sosyal Mühendislik Saldırılarından Korunmak

Artık birçok siber saldırının doğrudan veya dolaylı yoldan sosyal mühendislik içerdiğini söyleyebiliriz. Bu tehditten kendimizi korumak için hem bireysel hem kurumsal olarak birtakım güvenlik politikalarını yaşam tarzımız haline getirmek zorunda olduğumuzu farkına varmalıyız. Bu saldırıya karşı kendimizi eğitim ile koruyabiliriz. Herkes bu konuda eğitimli ve bilinçli olursa güvenlik de artacaktır. Kendi bildiklerimiz ile etrafımızdakilerde farkındalık yaratırsak toplum olarak güvenlik konusunda amacımıza ulaşmış oluruz.

Bu politikalar için öncelikle kuruluşun olası bir sosyal mühendislik saldırısı durumunda ne yapacağını ve ne sonuçlar doğuracağını tecrübe edebilmek için sızma testleri gerçekleştirilmelidir. Bu şekilde test sonrası verilecek rapor ile harekete geçilmesi gerekmektedir. Olası riskler belirlendikten sonra ise personel eğitimleri düzenlenmeli ve bilinçlenme sağlanmalıdır. Aşağıda sosyal mühendislik ve olası herhangi bir siber saldırıya karşı almanız gereken genel kurallar verilmiştir.

• Kişinin kendi ve çalışanlarında siber güvenliğe dair öz farkındalık oluşturulmalıdır.
• Kişiler önemli bir sonuç doğurabilecek konularda karar vermeden önce yavaşlayıp düşünme alışkanlığı edinmelidir. Çünkü saldırganların istediği düşünmeden acele hareket etme eylemidir.
• Öğrenmeye ilham verecek çalışma ortamı oluşturularak çalışanlara siber güvenlik konusunda eğitimler verilmeli ve teşvik edilmelidir.
• E-posta spam filtreleri yüksek derecede tutulmalıdır. Bu şekilde sosyal mühendislik için yollanan e-postalar spam kutusuna düşerek bir nevi engellenmektedir.
• Kişisel bilgilerimizi isteyen bir mesajın yanıtlanması istenirse kesinlikle yanıtlanmamalıdır. Ayrıca güvenilir olmayan kaynaktan gelen e-postalara kesinlikle tıklanmamalıdır.
• Kişide sosyal mecra güvenliği algısı oluşturulmalıdır. Çünkü sosyal mecra en çok bilgi paylaşıp en savunmasız olduğumuz yerdir.
• Kişisel bilgilerimizin adlarını (anne-baba, evcil hayvan, ilkokul vb.) paylaşmaktan kaçınılmalıdır.
• Kişiler gerçek e-posta ile sahtesi arasındaki farkı anlayabilmek için bilinçlendirilmelidir. Örneğin e-postayı gönderenin e-posta adresi, tarafından gönderdiğini iddia ettiği firmanın alan adı ile uyuşmuyorsa bu e-posta sahtedir. Veya e-posta sizlere gereksiz bir şekilde bir ödül vadediyorsa (dikkat çekici bir hediye olabilir) tuzağa düşürülmek isteniyor olabilirsiniz.
• Hesaplarımızın çalınma ihtimaline karşı bir katman daha güvenlik almak için olabilecek tüm hesaplarda çok faktörlü kimlik doğrulama kullanılmalıdır. Ve kesinlikle tüm hesaplarımızın parolaları birbirinden farklı ve karmaşık olmalıdır.
• Cihazlarınızdaki güvenlik duvarı, anti virüs yazılımları güncel tutulmalıdır.
• Sahte olduğu anlaşılan bir e-postaya cevap bile verilmemesi gerekmektedir. Bu şekilde gerçek olmadığınızı düşünerek size başka yollarla da ulaşmak için çabalamazlar.
• Hiçbir cihazı halka açık alanlarda şifresiz, tedbirsiz bırakılmaması gerekmektedir. Mutlaka kitlenmeli ve güvence altına alınmalıdır.
• İnternet üzerinden kurulan arkadaşlıklarda verilen bilgilere ve manipüle edilmemeye dikkat edilmelidir.

Sosyal Mühendislik Türleri

Sosyal mühendislik saldırılarında oldukça fazla manipüle etme teknikleri bulunmaktadır. Bireysel ve kurumsal kullanıcılar açısından sosyal mühendislik saldırıları oldukça tehlikeli olduğu için en azından herkes sosyal mühendislik saldırı türlerini okuyarak nerelerden kandırılabilecekleri hakkında fikir sahibi olmaları gerekmektedir.

 Aşağıda bu saldırı türlerinden en çok karşılaşılanlarına örnekler verilmiştir.

1. Yemleme (Baiting)

Baiting, hem fiziksel hem sanal bir saldırı türüdür. Saldırganlar kurbanı bir ürünün cazibesiyle mantıklarını devre dışı bırakıp güvensiz bir eylem yapmaya iterler. Örneğin bir kafede kurbana yakın bir konuma üzerinde “Şifrelerim” yazan fakat içinde kötü amaçlı bir yazılım yerleştirdiğimiz CD bırakmak gibi. Bu şekilde CD’yi bilgisayarına takan kurban için iş işten geçmiş olur. 

2. Oltalama (Phishing)

Phishing saldırılarında, saldırganlar genellikle kurbanın aşina olduğu güvenilir bir kaynaktan (Google, Instagram, Youtube vb.) iletişim sağlıyormuş gibi davranarak gerçekliği taklit ederler. Bu saldırı türü çoğunlukla e-posta ile gerçekleşmekte olup genellikle kurbandan finansal, kişisel ve oturum bilgilerini paylaşması üzerine kuruludur. Her zaman kullandığınız ve güvendiğiniz bir sosyal mecranın orijinal ismine çok benzer bir alan adı ile sizlere e-posta atarak oturum bilgilerinizi ele geçirmesi phishing saldırılarına bir örnektir.

3. Korkutma (Scareware)

Scareware saldırı türünde, saldırganların asıl amacı hayali tehlikeler ile kurbanı korkutup bu korku hissinden yararlanarak aslında yapmaması gereken şeyleri yapmasını sağlamaktır. Örneğin bir kurban cihazında virüs olduğuna inandırılırsa belli bir miktar ödeme yaparak bu virüsün kaldırılabileceğine de inandırılabilir bu şekilde ödeme bilgileri ele geçirilebilir veyahut bilgisayarına bu virüsten kurtulması için kuracağı anti virüs görünümlü bir program yerine kötücül bir yazılım yüklenebilir.

4. Sahne Senaryo Uydurmak (Pretexting)

Pretexting, kurban üzerinde gözlem yapıp sahte senaryolar oluşturarak iletişim kurmak üzerine kurulu bir saldırı türüdür. Çoğunlukla telefon üzerinden ya da birebir iletişim ile gerçekleştirilir. Saldırgan kurban hakkında bilgi topladıktan sonra bu bilgilere uygun bir senaryo oluşturur ve kurbanla iletişimde kalarak güven duygusu oluşturulur. En sonunda bu güven duygusu üzerine kurulmuş ilişkide öğrenilmek istenen bilgiler kurbandan alınmış olur.  

5. Hedefli Oltalama (Spear Phishing)

Spear phishing saldırı türünde saldırganlar hedef odaklı çalışmaktadırlar. Burada hedef bir kişi olabilmekte ya da bir kurumun tüm çalışanları da olabilmektedir. Saldırgan bu saldırıda kurbanları hakkında bilgi (genellikle sosyal medyadan) toplamaktadır. Yeterli bilgiye ulaştıktan sonra kurban için tanıdık, güvenilir gözükecek bir e-posta atılmaktadır. Ve bu yollarla kişisel bilgiler ele geçirilmektedir. Spear phishing saldırıları oldukça fazla kullanılan ve başarı oranı yüksek bir saldırı çeşididir.

6. Yakın Takip (Tailgating)

Tailgating, güvenli ve halka açık olmayan bir alana erişebilmek için yapılan fiziksel bir saldırı türüdür. Bu saldırılar genellikle firmanın bir çalışanı taklit edilerek ve olabildiğince rahat olup o ortama aitmiş hissiyatı yaratılarak yapılmaktadır. Örneğin sunucu odasına girmeye çalışan bir saldırgan, elleri dolu bir şekilde oranın çalışanıymış gibi davranıp odaya giren yetkili birinin hemen arkasından yürüyebilir. Kapıyı açıp içeri girmeye çalışan yetkili kişiye, kartını masada unuttuğunu söyleyip hemen ardından odaya girerek ise gerçekte yapmak istediğine ulaşabilmektedir. Bu yüzden kurumlarda yetki gerektiren odalara girilirken mutlaka kimlik olması yükümlülüğü konusunda çalışanlar uyarılmalıdır.

7. Kimliğe Bürünme (Impersonating)

Impersonating saldırılarında saldırgan kurbandan bilgi alabilmek için, kurbanın tanıdığı veya kurbandan herhangi bir talepte bulunabilecek yetkili bir kişi gibi davranmaktadır. Burada saldırganın taklit ettiği kişi firmanın yetkili bir yöneticisi, polis gibi kişiler olabilmektedir. Bu şekilde kurban denileni yapma eğilimini göstermeye bir nevi zorlanır.

8. Quid Pro Quo

Quid pro quo saldırı türünde saldırganlar, bir şey karşılığında bir şey sunarlar. Bu saldırıda saldırgan erişim izni karşılığında kurbana bir hizmet teklif eder. Mesela bir deney yaptığını söyleyerek oturum bilgileri karşılığında bir hediye çeki teklif eder. Sadece firmalar için değil günlük hayatımızda da karşımıza oldukça fazla çıkan bir saldırı türüdür fakat fark edilmesi diğer türlere göre daha yüksektir.

Çerezler Gerçekten Ne Kadar Tehlikeli ?

SameSite Cookie’den bahsetmeden önce daha iyi anlaşılması için HTTP protokolü ve cookie’nin ne olduğundan kısaca bahsedebiliriz. HTTP protokolü, web üzerindeki uygulamalar ile iletişim kurmamızı sağlayan protokoldür ve çalışma mantığı basittir. HTTP protokolü stateless (durum bilgisini tutmayan) bir protokoldür bu yüzden de bazı işlemler yaparken: örneğin, bir siteye giriş işlemi gerçekleştirdikten sonra sayfayı yenilediğimizde web sitesi bizi tanımayacaktır. Bunu önlemek içinde cookie’ler geliştirilmiştir. Bir sitede gezinirken giden isteğin header kısmında “Set-Cookie” olarak tanımlanan bu parametre siteye ulaşmaya çalışıldığında karşı tarafa gönderilir ve bu sayede site tarafından tanınmış oluruz.

Tarayıcılara eklenen SameSite Cookie özelliği de cookie’lerin 3. taraflardan kaynaklanan istekler ile bizim domainimiz dışındaki başka bir domaine ait istekler ile gönderilip gönderilmeyeceğini belirlemek için kullanılmaktadır.

SameSite Cookie özelliği strict, lax ve none olmak üzere 3 şekilde set edilebilmektedir;

• Strict: SameSite Cookie özelliğinin strict olarak tanımlanması, farklı bir site üzerinden yapılan istekte cookie’lerin gönderilmeyeceğini belirtmektedir.

• None: SameSite Cookie none olarak tanımlanırsa, tüm bağlantılar tarafından cookie’lerin gönderileceği anlamına gelmektedir.

• Lax: SameSite Cookie’nin lax olarak tanımlanmasında ise diğer sayfalar yani 3.taraflar tarafından yapılan GET isteklerinde cookie’ler gönderilmektedir fakat kritik istekler olan POST, PUT, DELETE gibi kritik isteklerde cookie gönderilmesine izin verilmemektedir.

Daha iyi açıklamak için şöyle bir örnek verebiliriz. deneme.com/index.html adında bir sayfa oluşturulup, içeriğine <img src=google.com/samesite.png> şeklinde bir resim tag’i eklenilsin. Bu siteye URL üzerinden deneme.com/index.html yazarak gidilirse ve SameSite Cookie none olarak tanımlanmışsa cookie’ye istek gönderilecektir. Cookie, lax veya strict olarak tanımlanmış ise cookie iletimi olmayacaktır. Fakat URL kısmına google.com/samesite.png yazılırsa bu sefer lax olarak set edilen cookie de gönderilecektir. Bunun sebebi ise img tag’i GET isteği yollamaktadır fakat bu GET isteği URL üzerinde bir değişiklik yaratmadığı için cookie gönderilmektedir.

Bu kısımda görüldüğü gibi SameSite Cookie’yi strict olarak tanımlanırsa hiçbir zaman cookie gönderilmeyecektir ve cookie iletimi güvenli olacaktır. Fakat bu da bazı sorunları beraberinde getirmektedir. 

Header üzerinde örnek bir cookie tanımı yapılması;

“Set-Cookie: aspCookie=deneme; SameSite=Lax;”

Header üzerinde yukarıdaki şekilde SameSite Cookie tanımlanabilmektedir.

SameSite Cookie’nin çıkmasının sebebi CSRF’in (Cross Site Request Forgery, siteler arası istek sahteciliği) önüne geçmektedir. Örnek olarak; satınal.com tarzında bir siteye giriş yapıldığında, giriş yapan kullanıcıya bir cookie tanımlanmaktadır. Sonrasında bu kullanıcı farklı bir sekmede zararlı.com’a giriş yaparken bu site satınal.com üzerinden yeni parola tanımlama işlemi için istek atabilmektedir. SameSite Cookie özelliği ise burada devreye girmektedir. Yapılan istek için cookie gönderilmeyeceğinden parola değiştirme işlemi de gerçekleşmeyecektir.

Peki neden tüm SameSite Cookieler strict ile set edilmemektedir? Aslında bu noktada bankalar gibi önemli veri saklayan ve diğer siteler ile iletişim kurma gereksinimi olmayan yerlerde strict kullanılabilmektedir. Fakat Twitter gibi bir site strict ile set edildiğinde bazı problemler ortaya çıkmaktadır. Örneğin bir kullanıcı blog.btyon.com.tr üzerinden okuduğu bir yazıyı çok beğenip bunu Twitter üzerinden paylaşmak isteyebilmektedir. Fakat kullanıcı bu yazıyı paylaş butonuna bastığı zaman tekrardan Twitter’a giriş yapması gerekir. Bu durumun önüne geçmek adına SameSite Cookie lax olarak tanımlanmaktadır. Bu durum bir siteye Twitter ile giriş yapılmak istendiğinde de geçerlidir.

Kısaca SameSite Cookie sayesinde CSRF zafiyeti olabildiğince az seviyeye indirilmekte ve cookie’ler güvenli bir şekilde gönderilmektedir.

YASAL DÜZENLEMELERDE SIZMA TESTİ GEREKLİLİĞİ

Sinem Varol, Danışman

Sızma testleri bir kuruluşun bilgi sistemleri ve çalışan kaynaklı zafiyetlerini açığa çıkarmak amacıyla yapılan çalışmalardır. Sızma testi ile saldırılar gerçekleşmeden önce zafiyetlerin (açıklıkların) farkında olunması ve bunların kapatılmasıyla sistemlerin daha güvenli bir hale getirilmesi amaçlanır.

İçinde bulunduğumuz çağda teknolojinin güncel durumu dikkate alındığında ve saldırganların teknik bilgisinin üst seviyede olması gerekmediği göz önüne alınırsa her geçen gün bireyler ve kuruluşlar için bilgilerinin güvenliği daha büyük tehlike altındadır.

Düzenli olarak sızma testi yaptırmak, olası açıklıkları saldırganlar fark etmeden önce öğrenmek ve bu zafiyeti kapatarak olası bir siber saldırıyı engellemek için proaktif bir tedbir niteliği taşımaktadır. Zafiyetler için aksiyon alınmasıyla birlikte kuruluşun hassas verilerinin yetkisiz kişilerin eline geçme ihtimali azalmış ve sistemlerindeki açıkların kapatılmasıyla yetkisiz kişilerin istismarı önlenmiş olur.

Sızma testleri kuruluşun isteği ve ihtiyacı doğrultusunda gerçekleştirilebilir. Ancak bazı sektörlerde bilgi güvenliğinin kritik olması sebebi ile düzenleyici kuruluşlar tarafından bu çalışma yükümlülük haline getirilmiştir.

Bu yazının devamında tebliğler ve yönetmeliklerde belirtildiği üzere hangi kuruluşların sızma testi yaptırmaları gerektiği açıklanmıştır.

Bankacılık Düzenleme ve Denetleme Kurumu

·        14 Eylül 2007 tarihinde yayınlanan Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ mevduat bankalarını, katılım bankalarını, kalkınma bankalarını ve yatırım bankalarını kapsamaktadır. Bilgi sistemlerine ilişkin risk yönetimi bölümünde güvenlik kontrol sürecinin tesis edilmesi ve yönetilmesi başlığında bağımsız ekiplere düzenli aralıklarla sızma testi yaptırılması gerektiği belirtilmiştir. Aynı zamanda internet bankacılığı bölümünde güvenlik kontrol sürecinin tesis edilmesi ve yönetilmesi başlığı altında bağımsız ekiplere, en az yılda bir kez olmak üzere, internet bankacılığı faaliyetleri kapsamındaki sistemler için sızma testi yaptırılması gerekliliğine yer verilmiştir. Bu tebliğ 1 Temmuz 2020 tarihinde yürürlükten kalkacaktır.

Aynı zamanda, bu tebliğe istinaden hazırlanan Bilgi Sistemlerine İlişkin Sızma Testleri Hakkında Genelge 24 Temmuz 2012 tarihinde yayınlanmıştır. Bu genelgede yapılacak olan sızma testlerinin asgari olarak kapsamı aşağıda verilmiştir.

o   İletişim Altyapısı ve Aktif Cihazlar

o   DNS Servisleri

o   Etki Alanı ve Kullanıcı Bilgisayarları

o   E-posta Servisleri

o   Veri Tabanı Sistemleri

o   Web Uygulamaları

o   Mobil Uygulamalar

o   Kablosuz Ağ Sistemleri

o   ATM Sistemleri

o   Dağıtık Servis Dışı Bırakma Testleri

o   Sosyal Mühendislik Testleri

·        Kurum, Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği 15 Mart 2020 tarihinde yayınlamıştır. Bu tebliğ 1 Temmuz 2020 tarihinde yürürlüğe girecektir ve mevduat bankalarını, katılım bankalarını, kalkınma bankalarını ve yatırım bankalarını kapsamaktadır. Kapsamdaki bankaların bilgi sistemleri aracılığıyla sunduğu hizmetlerin tasarımı, geliştirilmesi, uygulanması veya yürütülmesinde görevi bulunmayan bağımsız ekiplere yılda en az bir defa sızma testi yaptırmaları gerekmektedir.

·        Bilgi Alışverişi, Takas ve Mahsuplaşma Kuruluşlarında Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler ile İş Süreçleri ve Bilgi Sistemlerinin Denetimine İlişkin Tebliğ 4 Aralık 2013’te yayınlanmıştır. Bu tebliğ; Banka Kartları ve Kredi Kartları Kanununun 4 üncü maddesi çerçevesinde faaliyet izni alarak bilgi alışverişi faaliyetinde bulunan kuruluşları, Banka Kartları ve Kredi Kartları Kanununun 4 üncü maddesi çerçevesinde faaliyet izni alarak takas ve mahsuplaşma faaliyetinde bulunan kuruluşları ve Risk Merkezini kapsar. Kapsamdaki kuruluşların yılda en az bir defa sızma testi yaptırma gereklilikleri bulunmaktadır.

·        Finansal Kiralama, Faktoring ve Finansman Şirketlerinin Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ 6 Nisan 2019’da yayınlanmıştır ve finansal kiralama, faktoring ve finansman şirketlerini kapsamaktadır. Bu tebliğde bilgi güvenliği yönetimi başlığı altında kapsamdaki şirketlerin 2 yılda bir sızma testi yaptırmaları gerektiği belirtilmiştir.

·        Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ 27 Haziran 2014 tarihinde yayınlanmış ve ödeme hizmeti sağlamak ve gerçekleştirmek için Kanun kapsamında yetkilendirilmiş tüzel kişileri ve kanun kapsamında elektronik para ihraç etme yetkisi verilen tüzel kişileri kapsamaktadır. Kapsamdaki kuruluşlar, bilgi sistemleri aracılığıyla sunduğu hizmetlerin tasarımı, geliştirilmesi, uygulanması veya yürütülmesinde görevi bulunmayan bağımsız ekiplere yılda en az bir defa sızma testi yaptırmakla yükümlü tutulmuşlardır.

Enerji Piyasası Düzenleme Kurumu

·        13 Temmuz 2017 tarihinde yayınlanan Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliğinde geçtiği üzere EKS (Endüstriyel Kontrol Sistemleri) Güvenlik Kontrolleri isimli bir rehber yayınlanmıştır. Bu rehberde geçtiği üzere organizasyonların belirli sıklıkta ve özel olarak belirlenen bir kapsamda sızma testi gerçekleştirmeleri, raporlamaları ve sonuçları analiz etmeleri gerektiği belirtilmiştir. Bu rehberin kapsamındaki organizasyonlar EKS’nin sahibi olan organizasyonlardır.

Kişisel Verileri Koruma Kurumu

·        Ocak 2018’de yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler), kişisel veri güvenliğinin takibi maddesi altında bu hususa yer vermiştir. Bu maddede bilişim sistemlerinin bilinen zafiyetlere karşı korunması için düzenli olarak zafiyet taramaları ve sızma testlerinin yapılması ile ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirme yapılması gerektiği belirtilmiştir. Ayrıca rehberde bulunan veri sorumluları tarafından alınabilecek teknik tedbirlerin gösterildiği tabloda sızma testine yer verilmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanununa uymakla yükümlü olan kişisel verileri işleyen gerçek ve tüzel kişilerin bu rehberdeki tedbirleri göz önünde bulundurmaları gerekmektedir.

Sermaye Piyasası Kurulu

·        Kurul tarafından 5 Ocak 2018 tarihinde Bilgi Sistemleri Yönetim Tebliği yayınlanmıştır. Bilgi sistemleri risk yönetimi başlığı altında, sızma testi konusunda ulusal veya uluslararası belgeye sahip gerçek veya tüzel kişiler tarafından en az yılda bir kez sızma testine tabi tutuldukları belirtilmiştir. Aynı tebliğin Ek-1 Bilgi Sistemleri Sızma Testleri Usul ve Esasları dokümanında teknik gereklilikler açıklanmıştır. Ek-1’e göre sızma testleri kapsamında gerçekleştirilecek asgari testler aşağıda verilmiştir.

o   İletişim Altyapısı ve Aktif Cihazlar

o   DNS Servisleri

o   Etki Alanı ve Kullanıcı Bilgisayarları

o   E-posta Servisleri

o   Veri Tabanı Sistemleri

o   Web Uygulamaları

o   Mobil Uygulamalar

o   Kablosuz Ağ Sistemleri

o   Dağıtık Servis Dışı Bırakma Testleri

o   Sosyal Mühendislik Testleri

Gelir İdaresi Başkanlığı

·        19 Kasım 2019’da yayınlanan e-Belge Özel Entegratörleri Bilgi Sistemleri Denetim Kılavuzu, GİB’den izin alan / alacak olan Özel Entegratör kuruluşlarını kapsamaktadır. Kılavuzda tanımlanan varlıkları ve bilgi sistemlerinin genelini kapsayacak şekilde yılda en az bir kez olmak üzere sızma testi yaptırılması gerektiği belirtilmiştir. Kılavuzda yer alan sızma testi kapsamı aşağıda verilmiştir.

o   Ağ ve İletişim Altyapısı Testleri

o   İşletim Sistemi ve Platform Testleri

o   Uygulama Testleri

o   Veri Tabanı Testleri

o   Web Uygulamaları Testleri

o   Mobil Uygulama Testleri

Ulaştırma ve Altyapı Bakanlığı

·        Bakanlık tarafından 21 Haziran 2017 tarihinde KamuNet Ağına Bağlanma ve KamuNet Ağının Denetimine İlişkin Usul ve Esaslar Hakkında Tebliğ yayınlanmıştır. Bu tebliğde yer aldığı üzere KamuNet’e dâhil edilecek ve dâhil olan kamu kurumlarının, KamuNet’in bağlı olduğu sistemler üzerinde sızma/penetrasyon testleri gerçekleştirerek tespit edilen açıklıkların giderilmesi için çalışmalar yapması gerekmektedir.

Yukarıda bahsedilen düzenlemelere ek olarak ISO/IEC 27001 sertifikasına sahip olma zorunluluğu bulunan kuruluşların standardın EK-A güvenlik kontrolleri bölümünde A.12.6.1 Teknik Açıklıkların Yönetimi kapsamında düzenli olarak sızma testi yaptırmaları veya bu kontrol gereğince kendi kaynakları ile düzenli olarak teknik açıklıkları tespit etmesi gereklidir. Aşağıda ISO/IEC 27001 belgesine sahip olma yükümlülükleri verilmiştir.

·        Bilgi Teknolojileri ve İletişim Kurumunun yayınladığı Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ kapsamında bulunan elektronik sertifika hizmet sağlayıcıları,

·        Bilgi Teknolojileri ve İletişim Kurumunun yayınladığı Kayıtlı Elektronik Posta Sistemi ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ kapsamındaki kayıtlı elektronik posta hizmet sağlayıcıları,

·        Bilgi Teknolojileri ve İletişim Kurumunun yayınladığı Elektronik Haberleşme Güvenliği Kapsamında TS ISO/IEC 27001 Standardı Uygulamasına İlişkin Tebliğ kapsamındaki elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten sermaye şirketleri. Uygunluk belgesi aranan işletmeciler aşağıdadır,

o   Görev Sözleşmesi İmzalayan İşletmeciler

o   İmtiyaz Sözleşmesi İmzalayan İşletmeciler

o   Uydu Haberleşme Hizmeti Veren İşletmeciler

o   Altyapı İşletmeciliği Hizmeti Veren İşletmeciler

o   Sabit Telefon Hizmeti İşletmecileri

o   GMPCS Mobil Telefon Hizmeti Veren İşletmeciler

o   Sanal Mobil Şebeke Hizmeti İşletmecileri

o   İnternet Servis Sağlayıcıları

o   Hava Taşıtlarında GSM 1800 Mobil Telefon Hizmeti Veren İşletmeciler

·        Enerji Piyasası Düzenleme Kurumunun (EPDK) yayınladığı Doğal Gaz Piyasası Lisans Yönetmeliği kapsamında bulunan iletim faaliyetini gerçekleştiren lisans sahibi tüzel kişilerin ve sevkiyat kontrol merkezi kurmakla yükümlü dağıtım lisans sahiplerinin çalıştırdığı kurumsal bilişim sistemi ile endüstriyel kontrol sistemleri,

·        EPDK’nın yayınladığı Elektrik Piyasası Lisans Yönetmeliği kapsamındaki OSB üretim lisansı sahipleri hariç olmak üzere, kurulu gücü 100MW ve üzerinde olan ve geçici kabulü yapılmış bütün üretim tesisleri için, kurumsal bilişim sistemi ile endüstriyel kontrol sistemleri,

·        EPDK’nın yayınladığı Petrol Piyasası Lisans Yönetmeliği kapsamındaki rafinerici lisans sahiplerinin kurumsal bilişim sistemi ile endüstriyel kontrol sistemleri,

·        Gümrük ve Ticaret Bakanlığının yayınladığı Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği kapsamında bulunan yetkilendirilmiş yükümlü sertifikasına (YYS) sahip olmak isteyen tüzel kişiler.

Özetleyecek olursak, sızma testlerinin düzenli olarak yaptırılması kuruluşlar için hassas bilgilerinin korunması açısından oldukça önemlidir. Düzenlemelerde görüldüğü üzere özellikle enerji ve finans sektöründeki kuruluşlar için bu konuda daha tedbirli olunması gerektiği göze çarpmaktadır. Yasal açıdan bir zorunluluğu olmasa bile kuruluşların sızma testi yaptırmaları, zafiyetlerinin farkında olup uygun adımlar atarak sistemlerini daha güvenli hale getirmeleri için büyük bir fırsattır.

DÜZENLEMELERDE İŞ SÜREKLİLİĞİ VE ISO 22301 SERTİFİKASI GEREKLİLİKLERİ

Sinem Varol, Danışman

ISO 22301 İş Sürekliliği Yönetim Sistemi (İSYS) sertifikasına sahip olmak, bir kuruluşun kritik faaliyetlerini iş etki analizi aracılığıyla belirlediğinin, iş sürekliliği stratejisi ve planlarının olduğunun, test ve tatbikatlar gerçekleştirdiğinin ve düzenli olarak kurdukları bu sistemi denetlediklerinin bir göstergesidir. Bu standardın ilk versiyonu 2012, son versiyonu 2019 yılında yayınlanmıştır. Bu standartlar Türkçeye çevrilip TS ISO 22301:2013 ve TS ISO 22301:2020 olarak yayınlanmıştır.

ISO 22301 iş sürekliliği yönetim sistemi işletiyor olmanın kuruluşlara birçok faydası bulunmaktadır. Kabul edilebilir kesinti sürelerinin belirlenmesiyle kritik olan süreçler ortaya çıkarılır, riskler belirlenerek aksiyon alınır ve bu sayede kesintilerin kuruluşa olan negatif etkileri azaltılmaya çalışılır. Aynı zamanda testler ve tatbikatlar gerçekleştirilip olası bir felaket durumunda önceden belirlenmiş olan planlara ne kadar uyulduğu ölçülmüş olur.

Kuruluşlar ISO 22301 iş sürekliliği yönetim sistemini kendi istek ve ihtiyaçları doğrultusunda kurabilir. Ancak bazı sektörlerde iş sürekliliğinin kritik olması sebebi ile düzenleyici kuruluşlar tarafından bu ISO 22301 sertifikasına sahip olmak zorunlu tutulmuştur. Örneğin e-belge özel entegratörleri için detayları aşağıda sunulan düzenleme ile ISO 23301 zorunluluğu getirilmiştir.

Gelir İdaresi Başkanlığı

·        Gelir İdaresi Başkanlığı tarafından 19 Kasım 2019’da e-belge Özel Entegratörleri Bilgi Sistemleri Denetim Kılavuzu yayınlanmıştır. Bu kılavuzda belirtildiği üzere GİB’den izin alan/alacak olan Özel Entegratör kuruluşlarının ISO 22301 İş Sürekliliği Yönetim Sistemi Belgesine sahip olmaları zorunlu tutulmuştur. Ek olarak ISO/IEC 20000:1 2011 Bilgi Teknolojileri Hizmet Yönetim Sistemi Belgesi ve ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi Belgesine sahip olmaları gerekmektedir. Kılavuzda risk yönetiminin ISO 27001 ve ISO 22301 standartlarına göre yapılması gerektiği belirtilmiştir. Ayrıca bu kuruluşların yılda en az bir kez sızma testi yaptırmaları gerekmektedir.

Bu yazının devamında tebliğlerde ve yönetmeliklerde yayınlandığı üzere doğrudan ISO 22301 sertifikasına sahip olma zorunluluğu bulunmayan fakat iş sürekliliği yönetim sistemi kurmak, iş sürekliliği planı hazırlamak, kabul edilebilir kesinti sürelerini belirlemekle yükümlü olan kuruluşlara yönelik düzenlemelere yer verilmiştir. Belirtilen gereklilikler ISO 22301 standardı baz alınarak bir iş sürekliliği yönetim sistemi kurulduğunda karşılanmış olacaktır.

Bankacılık Düzenleme ve Denetleme Kurumu

·        14 Eylül 2007 tarihinde yayınlanan Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğde yer aldığı üzere iş etki analizi, risk değerlendirmesi, risk azaltma ve risk izleme faaliyetleri doğrultusunda bilgi sistemlerine ilişkin iş süreklilik ve kurtarma planı hazırlanması gerekmektedir. Bu gereklilikler ISO 22301 standardına uyum sağlandığında karşılanmaktadır. Ek olarak tebliğde yer aldığı üzere bağımsız ekiplere en az yılda bir kez sızma testi yaptırılması gerekmektedir. Bu tebliğin kapsamı mevduat, katılım, kalkınma ve yatırım bankalarıdır. Bu tebliğ 1 Temmuz 2020 tarihinde yürürlükten kalkacaktır.

·        15 Mart 2020 tarihinde yayınlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelikte “bilgi sistemlerinin sürekliliğinin sağlanması” başlığında gerekli hususlar açıklanmıştır. Yönetmeliğin kapsamı mevduat, katılım, kalkınma ve yatırım bankalarıdır ve 1 Temmuz 2020 tarihinde yürürlüğe girecektir. İş etki analizi, risk değerlendirmesi, risk yönetimi, izleme ve test faaliyetlerini içeren bir bilgi sistemleri süreklilik yönetim sürecinin oluşturulması, ikincil merkezin tesis edilmesi ve yılda en az bir defa gerçek bir felaket senaryosu sağlayıp test gerçekleştirilmesi gibi gereklilikler göz önünde bulundurulduğunda ISO 22301 standardı baz alınarak bir İSYS kurulması ve işletilmesi kuruluşa uyum açısından büyük avantaj sağlayacaktır. Ek olarak bağımsız ekiplere yılda en az bir defa sızma testi yaptırılması gerekmektedir.

·        4 Aralık 2013 tarihinde Bilgi Alışverişi, Takas ve Mahsuplaşma Kuruluşlarında Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler ile İş Süreçleri ve Bilgi Sistemlerinin Denetimine İlişkin Tebliğ yayınlanmıştır. Bu tebliğde yer alan her bir servis için kabul edilebilir kesinti sürelerinin belirlenmesi, ikincil merkez tesis edilmesi, testlerin yapılması gibi süreçler ISO 22301 standardına uyum süreciyle örtüşmektedir. Bunlara ek olarak kuruluşların yılda en az bir defa sızma testi yaptırmaları gerektiği belirtilmiştir. Bu tebliğ Risk Merkezi, bilgi alışverişi, takas ve mahsuplaşma kuruluşlarını kapsamaktadır.

·        6 Nisan 2019 tarihinde yayınlanan Finansal Kiralama, Faktoring ve Finansman Şirketlerinin Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğde “bilgi sistemleri süreklilik planı” başlığında gereksinimler açıklanmıştır. Her bir servis için kabul edilebilir kesinti sürelerinin belirlenmesi, ikincil merkez tesis edilip yılda en az bir defa ikincil merkez üzerinden test yapılması, bilgi sistemleri süreklilik planı hazırlanması gibi gereklilikler ISO 22301 standardına uyum ile ilişkilendirilebilir. Tebliğde ayrıca kuruluşların iki yılda bir sızma testi yaptırmaları gerektiği belirtilmiştir.

·        Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ 27 Haziran 2014 tarihinde yayınlanmıştır ve ödeme hizmeti sağlayan ve gerçekleştiren kuruluşlarla elektronik para ihraç eden kuruluşları kapsamaktadır. Bu tebliğde “bilgi sistemleri süreklilik planı” başlığı altında bilgi sistemleri süreklilik planı hazırlanması, ikincil merkez tesis edilmesi ve bu merkez üzerinden testler yapılması, dış hizmet sağlayıcıyla yapılan sözleşmede dış hizmet sağlayıcının bilgi sistemleri süreklilik planı kapsamındaki yükümlülükleri hususlarını içermesi gibi gerekliliklere yer verilmiştir. Bu gereklilikler ISO 22301 standardı ile ilişkilendirilebilir. Ek olarak kapsamdaki kuruluşların bağımsız ekiplere yılda en az bir defa sızma testi yaptırmaları gerektiği belirtilmiştir.

Bilgi Teknolojileri ve İletişim Kurumu

·        13 Temmuz 2014 tarihinde yayınlanan Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirketleri kapsamaktadır. Bu tebliğdeki “iş sürekliliği” başlığı altında iş sürekliliği planları yapılması, tatbikat ve testlerin gerçekleştirilmesi gerekliliklerine yer verilmiştir.

Enerji Piyasası Düzenleme Kurumu

·        13 Temmuz 2017 tarihinde yayınlanan Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliğinde bahsedildiği üzere “EKS (Endüstriyel Kontrol Sistemleri) Güvenlik Kontrolleri” rehberindeki kontrollerin öneri mahiyetinde olduğunda yer verilmiş, rehberde de bu kontrollerin EKS’lerin güvenliğinin denetlenmesi için bir el kitabı niteliği taşıdığı bilgisi verilmiştir. Bu rehberde iş sürekliliğinin sağlanması adına acil durum ve felaketten kurtarma planlamalarının yapılmasının ve bu planlar yapılırken organizasyonun tabi olduğu yasa, yönetmelik, standart vb. yükümlülüklerin değerlendirilmesi gerektiğinden bahsedilmiştir. Aynı zamanda bu rehbere göre bu kuruluşların belirlenen sıklıkta sızma testi gerçekleştirmeleri gerekmektedir. Bu yönetmeliğe uymakla yükümlü olan kuruluşlar aşağıda verilmiştir.

-       Elektrik iletim lisansı sahibi

-       OSB dağıtım lisansı sahipleri hariç olmak üzere elektrik dağıtım lisansı sahibi

-       OSB üretim lisansı sahibi hariç olmak üzere geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 MWe ve üzeri lisansa sahip her bir elektrik üretim tesisi sahibi

-       Boru hattı ile iletim yapan doğal gaz iletim lisansı sahibi

-       Sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı sahibi

-       Doğal gaz depolama lisansı sahibi (LNG, yer altı depolama)

-       Ham petrol iletim lisansı sahibi

-       Rafinerici lisansı sahibi

Sermaye Piyasası Kurulu

·        Bilgi Sistemleri Yönetim Tebliği 5 Ocak 2018’de yayınlanmış olup iş sürekliliği planı hazırlanması, bilgi sistemleri süreklilik planı hazırlanması ve risk değerlendirme, azaltma ve izleme faaliyetlerini gerçekleştirmeye dair hususlar içermektedir. Ayrıca kabul edilebilir kesinti sürelerinin belirlenmesi, ikincil sistem tesis edilmesi gibi gereklilikler de ISO 22301 standardıyla ilişkilendirilebilir. Bu tebliğ kapsamındaki kuruluşlar için en az yılda bir kez sızma testine tabi tutulma gerekliliği de belirtilmiştir. Aşağıda bu tebliğin kapsamındaki kuruluşlar verilmiştir.

-       Borsa İstanbul A.Ş.

-       Borsalar ve piyasa işleticileri ile teşkilatlanmış diğer pazar yerleri

-       Emeklilik yatırım fonları

-       İstanbul Takas ve Saklama Bankası A.Ş.

-       Merkezi Kayıt Kuruluşu A.Ş.

-       Portföy saklayıcısı kuruluşlar

-       Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş.

-       Sermaye piyasası kurumları

-       Halka açık ortaklıklar

-       Türkiye Sermaye Piyasaları Birliği

-       Türkiye Değerleme Uzmanları Birliği

Sonuç olarak, kritik faaliyetlerinin farkında olmak, risklerini yönetmek, iş sürekliliği prosedürleri oluşturup bunları test edip olası felaket durumlarına karşı hazırlıklı olmak isteyen kuruluşlar iş sürekliliği yönetim sistemi işletiyor olmalıdır. İş sürekliliği planları hazırlama ve ikincil merkez tesis etme gibi gerekliliklerin finans ve enerji sektöründeki önemi gözden kaçırılmamalıdır. Bazı tebliğ ve yönetmeliklerde doğrudan geçmese bile ISO 22301 standardına uyumlu bir iş sürekliliği yönetim sisteminin kurulması bahsedilmiş olan gerekliliklerin yerine getirilmesinde büyük katkılar sağlayacaktır.